À moins que vous ne suiviez de près les actualités de cybersécurité depuis dix ans, le terme d’attaque « Cold Boot », ou « démarrage à froid » en français, ne vous dit sans doute rien. Ce type d’attaque assez terrifiant a été découvert en 2008 et a rapidement été contenue par la mise en place d’une méthode de suppression de la mémoire vive à la mise hors ligne d’un appareil.
Vous l’aurez compris, une attaque « Cold Boot » s’attaque donc à la RAM. Avant de paniquer, il est important de préciser que c’est une attaque qui requiert un accès physique à la machine et qui s’effectue par le biais d’un périphérique externe.
Sans trop entrer dans les détails, il est possible, en connectant un périphérique externe sur une machine et en effectuant un « démarrage à froid », de récupérer les clés de chiffrement d’une partition de disque dur.
10 ans après sa découverte, le Cold Boot revient en force !
Lorsque les constructeurs informatiques ont adopté en 2008 des mesures écrasant les données de stockage temporaires de la RAM lors de la mise hors ligne de leurs appareils, la pratique du Cold Boot a largement perdu de sa superbe. Mais c’était sans compter sur la créativité de deux chercheurs en sécurité de F-Secure qui ont trouvé un moyen de contourner la barrière posée par le protocole mis en place par TCG en 2008 et ayant permis d’éradiquer la pratique du démarrage à froid.
Afin de récupérer des données sensibles, notamment des clés de cryptage du disque dur, en ayant simplement un accès physique à un ordinateur éteint, les chercheurs n’ont eu besoin que d’un peu de matériel : des outils et un périphérique externe. En bricolant physiquement la machine, il est possible de contourner le protocole d’effacement des données. Une fois cette barrière passée, il est alors possible de démarrer l’ordinateurs et, avec l’aide du périphérique externe, d’extraire des données stockées dans la RAM.
Le principal danger de ce type d’attaque est qu’il est difficile de s’en protéger, et que la complexité des logiciels de sécurité et de prévoyance actuels ne peuvent pas y faire grand-chose. Si les constructeurs ont évidemment été informés du problème, la seule solution actuelle reste de faire attention aux personnes pouvant avoir un accès physique à votre matériel informatique.
Protégez-vous des menaces informatiques : consultez notre classement des meilleurs antivirus !
